fbpx

Trivy Vulnerability ScannerがAquaファミリーに加わりました #Trivy #AquaSecurity #DevSecOps #Container #Security

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

New call-to-action

本ブログは「Aqua Security」社の技術ブログで2019年8月19日に公開された「Trivy Vulnerability Scanner Joins the Aqua Family」の日本語翻訳です。

Trivy Vulnerability ScannerがAquaファミリーに加わりました

コンテナイメージの脆弱性スキャンに興味がある人は、Trivyオープンソーススキャンツールを既に知っているかもしれません。このプロジェクトは、その使いやすさだけでなく、OSパッケージと言語固有の依存関係の両方にわたる包括的な脆弱性追跡についても絶賛されています。

Trivyの開発者であるTeppei FukudaさんをAqua Securityチームに迎えることができて、本当にうれしいです。彼は私たちのチームに脆弱性に関する専門知識をもたらし、TrivyプロジェクトはAquaポートフォリオに移行しています。

Trivyはオープンソースのままですか?

もちろんです。Teppeiを迎えることになったのは、Trivyが将来性豊かな最高のオープンソース脆弱性スキャナーであると信じているからです。私たちはそれをサポートし、成長を支援したいと考えています。 Teppeiは、成長を続けるオープンソースエンジニアリングチームの一部として、引き続きTrivyに取り組みます。

ほとんどの既存TrivyユーザにとってAqua Securityへの移行は容易ですが、以前サーバにTrivyをインストールしている場合は、パッケージマネージャとその新しいホームを参照するスクリプトを更新する必要があります。移行に関するいくつかの注意事項をご参照ください。

Aquaには既に優れた脆弱性スキャナがありますよね?

あります。Aqua CSPには、クラス最高と広く評価されているエンタープライズ版のイメージスキャナが含まれています。また、無料で使用できるMicroscannerも提供しています。今後数か月にわたってこれらとTrivyから良い部分を集め、オープンソースと商用ユーザの両方に包括的で使いやすいソリューションを提供するために取り組んでいきます。

Aqua Microscannerはどうなりますか?

Trivyを支持して、最終的にMicroscannerを廃止する予定ですが、既存のMicroscannerユーザのエクスペリエンスを維持するためにも、まずTrivyに適用すべきいくつかの拡張機能があります。

1つは、DockerfileにTrivyスキャンを埋め込む機能をサポートすることです。 Microscannerでは、Dockerfileの一部としてスキャンを含めることでスキャンを実施します。このアプローチは、個人がCI/CDパイプラインを変更せずにイメージスキャンを導入できることから、非常に人気があります。

MicroscannerとAquaのエンタープライズ版の両方のもう1つの利点は、Aqua Cyber Centerとして知られるリモートの脆弱性データベースを照会することです。この方法では、膨大な時間をかけて脆弱性データベース全体をローカルマシンにダウンロードする必要がありません。Trivyがこのような外部参照で動作する方法を追加します。

TrivyとMicroscannerは同じ結果を示しますか?

現在、同じイメージに対してTrivyとMicroscannerでスキャンを実施すると一部異なる出力結果が表示されます。理由としては、同一のデータソースを使用していないためであったり、修正プログロムが利用可能か、ベンダーが問題を修正予定無しとしてマークしたかなどの、両者のアプローチが多岐に渡るためです。今後数ヵ月にわたってこれを明確にし、出力結果の一貫性を確保します。

Aquaのエンタープライズ版のスキャナは?

Aqua Cloud Native Security Platformには、Aquaのフル機能スキャナが含まれており、引き続き最も包括的な出力結果を提供します。これには、イメージに組み込まれた機密データやマルウェアの識別などの追加機能が含まれており、また、独自の研究チームを含む複数の情報源から入手した追加の脅威インテリジェンスを使用しています。また、さまざまなCI/CDパイプラインツールへの統合が容易で、スキャン要求に応じた拡張が可能で、さらにはカスタマーサポートチームによって完全にサポートされています。Aqua Cloud Native Security Platform内で使用される場合、スキャン結果をもとにして顧客の環境にて信頼できるイメージ、プロファイル、ホワイトリストの動作などの使用を広範囲かつ強力に管理できるようにします。

Trivyを試すには?

お気に入りのコンテナイメージを利用してTrivyの使いやすさを体感してみてください。

https://github.com/aquasecurity/trivyから入手できます。

※番外編
Teppei Fukudaさんのブログもぜひご一読ください。

New call-to-action

新規CTA